頁:
[1]
Google Chrome修補今年第三個遭開採的零時差漏洞
位於Chrome的Blink算圖引擎的安全漏洞CVE-2021-21193,讓攻擊者能透過誘使用戶造訪惡意網站,進而執行任意程式碼,這個漏洞已出現實際開採行動繼二月及本月初後,Google本周再釋出Chrome桌機版更新,以修補3個程式碼執行漏洞,包括一個已遭開採的零時差漏洞。
Windows、Mac及Linux 版本的89.0.4389.90 版,已透過穩定(Stable)通道釋出。最新更新包含5項安全修補程式,其中3個為高度風險,包括CVE-2021-21191、CVE-2021-21192及CVE-2021-21193。
Google以安全為由,在大多數用戶升級前不公開漏洞資訊,不過捷克安全廠商Cybersecurity Help仍提供了部份說明。
其中CVE-2021-21191存在WebRTC元件中,攻擊者若能誘使用戶點選開啟惡意網站,即能觸發使用已釋放記憶體(Use-After-Free)錯誤,並在受害系統上執行任意程式碼。CVE-2021-21192是微軟瀏覽器安全研究中心通報,出現在Chrome分頁群組功能中,若使用者連上遠端攻擊者設立的惡意網站,將可觸發堆積緩衝溢位(heap buffer overflow),讓攻擊者在其電腦上執行任意程式碼。
第三項漏洞CVE-2021-21193則位於Chrome的Blink算圖引擎,也是透過誘使用戶造訪惡意網站,來觸發使用已釋放記憶體錯誤,進而執行任意程式碼。和前面兩者不同的是,CVE-2021-21193已經有不明開採活動。這是本月第二起,也是今年第三個遭到開採的零時差漏洞。
3項漏洞影響Google Chrome 86到89版,Google也呼籲用戶儘速安裝更新版。
...<div class='locked'><em>瀏覽完整內容,請先 <a href='member.php?mod=register'>註冊</a> 或 <a href='javascript:;' onclick="lsSubmit()">登入會員</a></em></div><div></div>
頁:
[1]